strat 21 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 Доверенность не подхватывается, подхватывается только недоверенность и ограничение. То есть вредонос, не важно откуда запущенный, просто не стартанет. Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100% Цитата Ссылка на сообщение Поделиться на другие сайты
rabbit 60 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 Не думаешь, а знаешь. Он ничего не сделает из-за того, что у него нет прав запуститься. если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100% Песочница EzzO/M Остроумно. Чтобы ему хоть что-то сделать, нужно стартануть. Прав на запуск нет. Цитата Ссылка на сообщение Поделиться на другие сайты
Lacoste 234 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 (изменено) EzzO/M Такого бреда я еще не читал.... Лучше не пиши... Изменено 10 февраля, 2010 пользователем Danilka Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 (изменено) если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится. EzzO/M жжешь напалмом (написано с соблюдением правил русского языка) Чтобы выгрузить антивирус руткит должен сначала запуститься, а антивирус ему не дает запуститься, следовательно - руткит не может выгрузить антивирус чтобы запуститься... EzzO/M Такого бреда я еще не читал.... Лучше не пиши... Точно. Позорище. Изменено 10 февраля, 2010 пользователем пользователь Цитата Ссылка на сообщение Поделиться на другие сайты
strat 21 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 (изменено) Песочница Т.е. от этой напасти только песочница должна спасти. Ну тогда если уж развить тему дальше. 1) Уже давно известны способы обхода виртуальных машин vmware, отсюда следует что песочница тоже имеет свои дыры но пока необнаруженные. Значит теоретически, мега шеллкод сначала пробивает браузер запущенный в песочнице а потом вылезает из песочницы, прибивает защиту кис. 2) Шелл код пробил браузер в песочнице и прочитал файлы с паролями на ftp, прочел пароли аськи и т.д и т.п. и сразу отправил их на сервер злоумышленника. Я думаю что подобные методы атаки реальны, но вряд ли это кто станет реализовывать но ведь и спорим мы о 100% защиты а здесь любой шанс для виря = уже не100% Ого, как по заказу, МС опубликовала сегодня новый бюллетень об именно такой угрозе о которой говорилось http://www.securitylab.ru/vulnerability/390587.php 10 february, 2010Microsoft Security Bulletin MS10-007 - Critical Vulnerability in Windows Shell Handler Could Allow Remote Code Execution (975713) Published: February 09, 2010 Version: 1.0 General Information Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows 2000, Windows XP, and Windows Server 2003. Other versions of Windows are not impacted by this security update. The vulnerability could allow remote code execution if an application, such as a Web browser, passes specially crafted data to the ShellExecute API function through the Windows Shell Handler. Изменено 10 февраля, 2010 пользователем strat Цитата Ссылка на сообщение Поделиться на другие сайты
rabbit 60 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 это ваш антивирь позорище! не забывайте про explorer.exe Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 не забывайте про explorer.exe А что explorer.exe? Цитата Ссылка на сообщение Поделиться на другие сайты
rabbit 60 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 А что explorer.exe? вы все сами прекрасно знаете, я все сказал, спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
пользователь 220 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 вы все сами прекрасно знаете, я все сказал, спасибо Я вас не понимаю. Уважаемый, вы говорите загадками. Цитата Ссылка на сообщение Поделиться на другие сайты
Lacoste 234 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 пользователь Забей... Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. Теоретически, некоторое время после выключения компьютера пароли можно прочитать не откуда-нибудь, а из оперативной памяти (особенность архитектурная планок ОЗУ), и это даже демонстрировали на практике. Но перенесем это в реальность. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
strat 21 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. Ну собственно я и хотел резюмировать, кис обеспечит 100% защиты в совершенно определенных условиях, в текущей ситуации, на текущий момент. Сейчас нет зловредов которые пробьют песочницу и т.д. Цитата Ссылка на сообщение Поделиться на другие сайты
EAlekseev 100 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. Жуть! Как далека команда ЛК от реальности. Предлагается внести ВСЕ приложения в недоверенные. Т.е. пользователь скачивает некую фриварную программку. Она не работает, т.к. антивирус будет блокировать её активность. Получается её нужно либо внести в доверенные, либо не использовать (выполняем негласный лозунг Касперского "Компьютер - для антивируса"). Если внесли в доверенные, то вся ваша защита идет лесом. Цитата Ссылка на сообщение Поделиться на другие сайты
Umnik 1 278 Опубликовано 10 февраля, 2010 Share Опубликовано 10 февраля, 2010 EAlekseev, спасибо, ты меня улыбнул. Не мысли категориями Доктора, ЛК значительно ушла вперед. И та настройка, которую я показал второй, прекрасно добавляет программы в Доверенные по ЭЦП и по KSN. У меня на рабочей машине 180 доверенных программ, из них в Недоверенные по этой настройке улетело бы 8. Из этих 8-ми штук 6 - внутреннее специализированное ПО, а две - бета-версии программ, релизы которых в Доверенных (Миранда и Анриал Коммандер). Собственно, динамика. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.